Windows MSDT : Microsoft a corrigé la faille zero-day Follina
Au sein de son Patch Tuesday de juin 2022, Microsoft a introduit un correctif pour la vulnérabilité zero-day baptisée "Follina" qui touche le composant MSDT de Windows. Faisons le point.
La faille de sécurité Follina est exploitée au travers de documents Word malveillants qui s'appuient sur un appel "ms-msdt://" pour exécuter du code malveillant (commandes PowerShell, par exemple) sur les machines, sans même avoir besoin d'utiliser une macro. Le fameux composant MSDT pour Microsoft Support Diagnostics Tool, est un utilitaire de Microsoft qui est utilisé pour collecter des données qui seront ensuite analysées par le support afin de diagnostiquer et résoudre un incident. Ici, son usage est détourné. Cette vulnérabilité touche toutes les versions de Windows, à partir de Windows 7 et Windows Server 2008.
Dans son bulletin de sécurité associé à la CVE-2022-30190 (Follina), la firme de Redmond précise : "Microsoft recommande vivement aux clients d'installer les mises à jour afin d'être entièrement protégés contre cette vulnérabilité. Les clients dont les systèmes sont configurés pour recevoir des mises à jour automatiques n'ont pas besoin de prendre d'autres mesures.". Par ailleurs, Microsoft invite ses clients à installer la mise à jour dès que possible. C'est compréhensible puisque cette vulnérabilité est exploitée activement dans le cadre d'attaques informatiques, notamment par les groupes de cybercriminels TA413 et TA570.
Comme le relais Will Dormann sur Twitter, suite à l'installation de ce correctif, MSDT est toujours exécuté au moment de l'appel à partir du document Word, sauf que grâce au correctif le code n'est pas injecté donc la protection fonctionne.
For those looking for the Follina / CVE-2022-30190 update in the June 2022 Patch Tuesday updates, take note:
Despite the patches being released today, they're listed as being released in May. 🤷
With the update, msdt.exe is still automatically spawned. But without injection. pic.twitter.com/A0xl28eYhC— Will Dormann (@wdormann) June 14, 2022
En ce qui concerne la KB de sécurité à installer :
- Windows Server 2022 : KB5014678
- Windows Server 2019 : KB5014692
- Windows Server 2016 : KB5014702
- Windows Server 2012 R2 : KB5014746
- Windows Server 2012 : KB5014741
- Windows Server 2008 R2 : KB5014742
- Windows 11 : KB5014697
- Windows 10 21H2 : KB5014699
- Windows 10 21H1 : KB5014699
- Windows 10 20H2 : KB5014699
- Windows 10 v1809 : KB5014692
- Windows 8.1 : KB5014746
- Windows 7 : KB5014742
Toutes les informations sont disponibles sur le site de Microsoft : CVE-2022-30190.
